西門子plc解密300/400解密方法研究 晉江速捷自動化
對于S7-300CPU密碼的破解有好幾種方法��,一種是用讀卡器加S7ImgWR/RD軟件����,還有一種是直接用MMC卡解密軟件����。但是�,今天重點來說一說用TIA Portal+S7Client暴力破解西門子S7-300/400密碼����。目前實驗使用的是Siemens S7-300PLC,CPU型號為315-2 PN/DP����,破解使用到的工具如下表:
TIA Portal V13 PLC編程工具
s7clientdemo.exe S7-300輔助查看cpu密碼設(shè)置狀態(tài)工具
Wireshark 用來截取PLC和上位機通信的報文 晉江速捷自動化
Siemens系列PLC的密碼�����,通常有4種設(shè)置狀態(tài)��,分別為:完全權(quán)限�,只讀權(quán)限�,,不允許上傳�����。
由于操作員的疏忽或者調(diào)試方便��,通常會不給PLC設(shè)置密碼���,或者只設(shè)置簡單密碼�,接下來我會展示這樣做的危險性��。
本文將從PLC密碼加密方式開始談起��,之后會討論PLC密碼被暴力破解的可能性���,從而得出保證PLC密碼安全的方式�。
上圖展示了S7-300的外形���,通常是通過Step7或者博圖(TIA)軟件去對PLC進行編程及設(shè)置�。在這里速捷工控plc解密使用博圖來給PLC設(shè)置密碼����。
三、算法加密
比如設(shè)置密碼狀態(tài)為只讀���,密碼為:123456����,然后重新通過上位機和PLC建立連接���,驗證密碼的時候���,截取到如下報文:
密碼驗證時候截取到的報文
分析得出規(guī)律: 晉江速捷自動化
S7-300用的是可逆加密算法,密碼長度最多為8位����,通過可逆算法轉(zhuǎn)換成8個16進制數(shù)字通過S7協(xié)議發(fā)送給PLC���。
1、將不超過8位的字符串轉(zhuǎn)換成8個16進制數(shù)字:
2����、opData數(shù)組元素默認都是0x20
如果密碼為123456,可逆算法的代碼如下:
程序運行后得到的Pwd數(shù)組如下所示��,和速捷工控plc解密截取到的報文一致���。從而說明速捷工控plc解密找到的算法是正確的�����。
當發(fā)送了轉(zhuǎn)換后的密碼后�,會得到PLC返回的報文��,返回的報文中����,有對發(fā)送的密碼正確性驗證的結(jié)果,如果驗證通過�����,就會將錯誤碼那幾個位置位為0x0000,如果密碼不正確�����,就會是別的錯誤碼�����。
四��、暴力破解 晉江速捷自動化
知道了密碼的加密算法之后�,速捷工控plc解密就可以生成弱口令字典���,然后通過加密算法對弱口令進行加密,使用加密后的密碼字典與PLC進行通信�,如果破解成功�,返回明文密碼���。
五���、存儲塊解密
知道了密碼的加密過程�,和密碼的加密算法�,那么CPU密碼是怎樣存儲在PLC中呢����?必須通過暴力破解的方式�����,才能獲取未知設(shè)備的CPU密碼嗎�����?
速捷工控plc解密研究S7-300 CPU密碼得到以下成果:
1��、CPU密碼保存在SDB0塊中 晉江速捷自動化
2、S7-300 CPU密碼在塊中的保存方式
以下3個圖分別為未加密��,只讀權(quán)限�����,無讀寫權(quán)限的SDB0塊的數(shù)據(jù)。在只讀權(quán)限和無讀寫權(quán)限狀態(tài)時����,CPU密碼均為000000。
經(jīng)過研究得出以下結(jié)論:晉江速捷自動化
紅色方框內(nèi)為加密后的密碼,藍色方框內(nèi)的數(shù)字02代表只讀權(quán)限����,03代表不可讀寫權(quán)限�。而第一張圖中�,因為沒有設(shè)置密碼�,所以缺少這一部分內(nèi)容����。
3����、加密算法:
速捷工控plc解密找出了加密算法,算法和上文中算法類似但略有不同��,同樣也是可逆的加密算法�����,具體加密算法程序如下:
通過以上可逆算法�����,速捷工控plc解密可以斷言,只要可以讀取SDB0塊��,就可以直接根據(jù)塊信息��,獲取明文密碼����,根本不需要暴力破解。在獲取到明文密碼后���,通過發(fā)送密碼校驗的報文,就擁有下載的權(quán)限��,進而可以直接改寫密碼為自己想要的設(shè)置���,設(shè)置可以更改CPU的密碼設(shè)置等級(只讀或者無讀寫權(quán)限)。因此���,在設(shè)置CPU密碼權(quán)限的時候��,速捷工控plc解密推薦設(shè)置為不可讀寫的狀態(tài)����,加大獲取到SDB0塊的難度,從而保護速捷工控plc解密設(shè)置的密碼���。晉江速捷自動化
六�����、保護方式及建議
通過以上示例��,速捷工控plc解密知曉了S7-300的CPU加密方式��,并且給出了暴力破解的思路���。反過來,速捷工控plc解密可以通過暴力破解的思路����,加固速捷工控plc解密的PLC,讓PLC更不容易被攻破�,速捷工控plc解密提出以下建議:
1、PLC一定要設(shè)置密碼��,并且設(shè)置為不可讀不可寫狀態(tài)�����,盡可能多的保護您的程序�。
2��、在進行上裝和下裝的時候�����,電腦直接與PLC相連,避免透過中間人或者交換機等方式獲取到通信報文�����,使攻擊者有機可乘。
3�、不要設(shè)置弱密碼,盡量設(shè)置復(fù)雜密碼��,這樣可以使得暴力破解的時間變得更長,被發(fā)現(xiàn)的幾率也就更大���。
4、不要將PLC暴露在公網(wǎng)上�����。速捷工控plc解密晉江速捷自動化
